NAT 全局通讯簿概述
在 Junos OS 11.2 版及更高版本中,通讯簿从区域级别移至设备全局级别。这允许跨多个区域使用对象,并避免资源使用效率低下。此更改还允许在通讯簿中配置嵌套组,从而消除重复地址对象的冗余。
Security Director 应用程序在全局级别管理其通讯簿,将对象分配给创建策略所需的设备。如果设备能够使用全局地址簿,则 Security Director 会将策略中使用的地址对象推送到设备全局地址簿。嵌套地址组功能用于 Security Director 的发布和更新功能,具体取决于设备功能。
全局通讯簿和基于区域的通讯簿之间的差异
Junos OS 11.2 版及更高版本支持全局通讯簿。
未在特定区域中配置通讯簿;因此,一个通讯簿可以与多个区域相关联。
如果定义了全局通讯簿,则无法创建基于区域的通讯簿。
默认情况下,有一个名为全局的通讯簿与所有区域相关联。
除了全局通讯簿之外,一个区域只能附加到一个通讯簿,默认情况下,全局通讯簿包含所有区域。
全局通讯簿和区域通讯簿之间可能存在地址名称重叠。例如,Security Director 将首先尝试匹配基于区域的通讯簿中的地址,如果未找到该地址,则检查全局通讯簿。必须确保在策略中使用正确的地址对象。
NAT 规则只能使用全局通讯簿中的地址对象。他们不能使用用户定义的通讯簿中的地址。
从 Junos OS 12.1 版开始,不再支持基于区域的通讯簿。运行 Junos OS 12.1 或更高版本的设备必须使用全局通讯簿。
从 Junos OS 11.2 版开始,NAT 规则可以使用全局通讯簿中的地址对象。但是,Security Director 仍会继续在规则本身中定义 NAT 地址,而不是引用全局地址簿。